Una grave falla zero-day nella piattaforma CMS Sitecore è stata sfruttata in modo attivo da un gruppo APT con presunta connessione alla Cina. Questa vulnerabilità interessa la ViewState deserialization in Sitecore Experience Manager e Sitecore Experience Platform, consentendo esecuzione remota di codice senza autenticazione corretta.
Gruppo UAT-8837
I ricercatori di Cisco Talos tracciano un attore definito UAT-8837, con medium confidence di legami a un threat actor di area cinese, che ha sfruttato proprio questa zero-day di Sitecore per ottenere accesso iniziale nelle reti target. L’obiettivo sembra essere ottenere accesso a organizzazioni di alto valore, in particolare nel settore delle infrastrutture critiche in Nord America
Tattiche post-compromissione
Una volta all’interno della rete, l’hacker utilizza strumenti open-source per avanzare lateralmente e raccogliere informazioni sensibili come credenziali, configurazioni e dati Active Directory.
Parallelamente alla campagna Sitecore, altri APT collegati alla Cina sono stati osservati sfruttare vulnerabilità zero-day in prodotti come VMware ESXi, Fortinet o SAP NetWeaver in campagne di spionaggio o compromissione di sistemi enterprise e infrastrutturali.